您的雲備份可能成為勒索軟件運營商的目標

Ransomware Operators Target Cloud Backups

我們之前已經提到,人們和組織現在比過去更加了解勒索軟件的威脅。這就是為什麼至少就統計數據而言,文件加密惡意軟件不再是家庭用戶最大的網絡安全問題的部分原因。但是,它仍然活著而且可以踢,這是因為人們繼續認為只要有備份就可以安全。安全新聞媒體Bleeping Computer最近指出,這種想法可能會使最終用戶和大型組織處於非常糟糕的境地。

勒索軟件運營商正在干預受害者的雲備份

一段時間以來,Bleeping Computer一直在關注針對企業的勒索軟件系列的發展,例如DoppelPaymer和Maze。上個月,新聞網站看到了 “多普勒洩漏”的出現-一個在線門戶網站的運行和用來揭露那些被勒索命中,但被拒絕支付贖金組織的敏感信息DopplePaymer團伙維持。

在Dopple漏洞發布之後不久,騙子發布了屬於受害者之一的Veeam雲備份的位置和登錄憑據。這對騙子而言是一個奇怪的舉動, Bleeping Computer決定與他們聯繫以查明發生了什麼。

勒索軟件攻擊使網絡罪犯可以完全訪問公司的數據,包括其備份

該新聞媒體與經營DoppplePaymer和Maze勒索軟件系列的團伙保持聯繫,並詢問他們如何獲取此類登錄數據以及為何有時決定發布該登錄數據。毫不奇怪,騙子們不想透露太多的細節,但是他們確實提供了足夠的信息,使我們能夠洞悉針對企業的勒索軟件攻擊如何在如今起作用。

黑客首先使用網絡釣魚,惡意軟件或配置不當的遠程桌面協議服務破壞單個端點。將數據鎖定在單台計算機上有時可能會造成巨大的破壞,但是騙子們想要確保最大程度的破壞,這就是為什麼他們然後嘗試在網絡內橫向移動的原因。最終目標是提取管理員憑據,使他們可以完全控制受害者的IT基礎結構。為了獲得這些憑據,騙子使用鍵盤記錄程序,網絡釣魚攻擊和滲透測試工具包(例如Mimikatz)。即使騙子控制了受害者的網絡,騙子也不會立即進入文件加密階段。

現代勒索軟件攻擊涉及尋找本地和雲備份的工具。如果存在備份,勒索軟件操作員可以將數據複製到由他們控制的服務器上,以後再用於其他攻擊。他們還可以刪除它,以確保受害者除了支付贖金外別無選擇。在許多情況下,存儲在雲中的備份受到用戶名和密碼的保護,但是通常,可以使用騙子已經竊取的管理憑據來訪問這些備份,因此獲取備份不是問題。

勒索軟件運營商希望向世界展示他們可能有多危險

勒索軟件操作員可以訪問受害者的備份,我們對此並不感到驚訝。幾個月前,安全專家注意到,網絡罪犯在加密之前就開始竊取敏感的公司數據,通常早晚假設他們會獲得一些備份是正常的。

Bleeping Computer編寫的攻擊有點奇怪,因為在此期間,騙子決定不刪除備份,並讓受害者無法免費恢復數據。他們也沒有嘗試通過在地下市場上出售備份信息來貨幣化。相反,他們只是將其放在公共網站上,任何人都可以訪問它。

DopplePaymer的運營商告訴Bleeping Computer,他們這樣做是為了向全世界展示他們對受害者網絡的控制權。換句話說,他們告訴每個人攻擊的危險性,如果我們在整個事件中都要尋找一線希望,我們可能會說這增加了公司重新考慮其備份策略的機會。

人們必須停止假設單個備份足以確保在勒索軟件攻擊後進行無縫恢復。您甚至可能會爭辯說,尤其是涉及業務組織時,沒有無縫恢復之類的東西。不過,這並不意味著備份並不重要。實際上,如果發生任何事件,例如上述事件表明安全備份數據是一個漫長的過程,其中涉及很多決策和對細節的高度關注。

March 4, 2020
正在加載...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载该应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的完整功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。